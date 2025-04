Roma, 11 aprile 2025 - Nel mondo è boom di attacchi informatici, e spesso a farne le spese sono le aziende, costrette a pagare riscatti salati per evitare di veder pubblicati i loro dati più sensibili. Ne parliamo con due esperti di sicurezza di Tinexta Cyber: Riccardo Michetti, Senior SOC Threat Intelligence Analyst, e Luigi Martire, Threat Research Leader.

Come funzionano i gruppi che organizzano e si occupano degli attacchi informatici?

Michetti: "Le ransomware gang (dall'inglese 'ransom', riscatto, ndr) esistono da molti anni, ma a evolversi è stato il livello organizzativo. Ci sono strutture complesse e specializzate, come vere e proprie aziende. Si occupano spesso di 'ransomware as a service', un modello in cui mettono a disposizione a degli affiliati il loro malware per condurre attacchi, così da ricavare una percentuale sull'incasso".

Martire: "Stanno cercando di rendere stabile il mercato nero del crimine informatico, il modello sta funzionando. Molto spesso le stesse persone, dei veri e propri professionisti, lavorano contemporaneamente per più gang criminali".

Avete parlato di strutture complesse. Quali sono le figure che operano all'interno di questi gruppi-aziende?

Michetti: "Al capo di una struttura ransomware ci sono gli amministratori che supervisionano il programma e coordinano le varie risorse. Gli sviluppatori si occupano di sviluppare e manutenzionare il ransomware, con l'obiettivo di renderlo sempre efficace contro le nuove tecnologie di sicurezza. Ci sono poi due figure che operano all'interno degli affiliati di cui ho parlato prima: gli operatori – che identificano le vulnerabilità e compromettono le infrastrutture delle vittime – e gli access broker – che forniscono le credenziali alle ransomware gang. Il negoziatore ha invece il compito di contattare le aziende vittima dell'attacco per negoziare la riacquisizione dei dati. Gli operatori, infine, sono specializzati nel riciclare le criptovalute utilizzate per pagare il riscatto".

Ci sono dei dettagli, o magari degli attacchi in particolare, che vi hanno colpito nel vostro lavoro?

Michetti: "Più che di singoli attacchi parlerei di settori particolarmente 'delicati': se vengono colpiti i danni diventano anche fisici, basti pensare a un attacco informatico in ospedale, che potrebbe mandare ko i macchinari della sala operatoria. Ci sono poi delle organizzazioni che dispongono di dati di rilievo che potrebbero essere rivenduti".

Martire: "E' impressionante come gli attacchi si stanno evolvendo. Fino al 2023, il modello di attacco prevedeva come fonte di ingresso principale un malware, da alcuni mesi ci siamo resi conto che la procedura sta cambiando. Un nuovo gruppo ransomware ha sfruttato una vulnerabilità che ha permesso di colpire contemporaneamente migliaia di aziende".

Dove finiscono i dati e i profitti di queste attività?

Michetti: "Se non viene pagato il riscatto, i criminali pubblicano i dati dell'azienda colpita. Il rischio è che possano dunque essere presi da altre organizzazioni che poi le rivendono a loro volta. Se invece la vittima paga il ransomware - pratica piuttosto illegale - il guadagno del riscatto viene riciclato attraverso dei 'coin-mixer', una serie di tante microtransazioni così da far perdere le tracce".

Martire: "Creando e distruggendo indirizzi bitcoin si creano reti talmente complesse che è impossibile risalire al denaro. Contemporaneamente, si cerca anche di convertire le criptovalute in moneta fisica in determinati paesi del mondo. E' un riciclaggio a tutti gli effetti, su scala globale".

Quali sono questi paesi? C'è una qualche forma di 'protezione' di determinati Stati?

Martire: "In alcuni paesi questa tipologia di crimini è più diffusa, come quelli est europei, la Russia. Lì c'è più flessibilità nei loro confronti. Il target diventa quindi tutto ciò che c'è al di fuori di quegli Stati. La Corea del Nord invece compie attacchi a scopo di lucro".

Michetti: "I gruppi dediti al ransomware sono 'tutelati' dai paesi come la Russia finché non colpiscono 'internamente'. Così, i malware stessi sono progettati in modo tale da non essere efficaci, ad esempio, sui dispositivi che utilizzando una tastiera in russo".

Come possiamo difenderci?

Michetti: "Ad oggi avere un programma di cybersecurity è fondamentale. Però non bastano le tecnologie, serve anche un monitoraggio costante delle proprie infrastrutture. Infine è necessaria anche una certa consapevolezza dei dipendenti".

Martire: "Oltre alle direttive e agli standard dati dalle istituzioni, servono anche delle buone metodologie di risoluzione delle problematiche di sicurezza".

Parlate di consapevolezza dei dipendenti. In che senso?

Martire: "Immaginiamo un utente all'interno di una rete aziendale, che naviga in maniera non sicura su qualche sito web. Risolve un capcha e compare poi una pagine di errore. Dietro c'è un access broker che si crea così un primo modo per entrare nella rete, una backdoor. Il criminale può ora vendere l'accesso ad altri malintenzionati. Questo è il punto di partenza di un ransome".

Michetti: "Anche utilizzare le credenziali aziendali su un dispositivo personale è pericoloso, perché i nostri computer e smartphone non hanno lo stesso livello di sicurezza di quelli aziendali".